Инфраструктурные уязвимости нельзя игнорировать, особенно если ты — крупный оборонный подрядчик...
Правительство США и оборонный подрядчик Belcan оставили свои учётные данные суперадминистратора открытыми для общественности. По данным исследовательской группы Cybernews, ошибка могла привести к серьёзной атаке на цепочку поставок.
Belcan предоставляет решения в области проектирования, IT и инженерии для госструктур США. Компания с выручкой 950 млн долларов в 2022 году является доверенным партнёром для 40 федеральных агентств.
15 мая исследовательская группа Cybernews обнаружила открытый экземпляр Kibana, содержащий конфиденциальную информацию о Belcan, их сотрудниках и внутренней инфраструктуре. Kibana — это панель визуализации для механизма поиска данных и аналитики Elasticsearch. Эти системы помогают предприятиям работать с большими объёмами данных.
Хотя утечка информации подчёркивает приверженность Belcan информационной безопасности посредством внедрения тестов на проникновение и аудитов, злоумышленники могли воспользоваться упущением, оставив результаты тестов открытыми вместе с учётными данными администратора, хэшированными с помощью bcrypt.
Утечка данных Belcan в открытом экземпляре Kibana содержала следующее:<ul><li>Электронные письма администратора;</li>
</ul><ul><li>Имена пользователей администратора;</li>
</ul><ul><li>Пароли администратора;</li>
</ul><ul><li>Роли администратора (в каких организациях они назначены);</li>
</ul><ul><li>Адреса внутренней сети;</li>
</ul><ul><li>Имена хостов внутренней инфраструктуры и IP-адреса;</li>
</ul><ul><li>Уязвимости внутренней инфраструктуры и действия, предпринятые для их устранения.</li>
</ul>Bcrypt — это безопасный алгоритм хэширования, который добавляет уровень безопасности, защищающий от злоумышленников. Однако хэши все ещё могут быть взломаны, а другие данные аутентификации могут быть использованы в фишинговых атаках для потенциального получения доступа к конфиденциальной информации госструктур и оборонных предприятий.
Такая информация ценна для промышленного шпионажа, получения секретных военных сведений или нарушения работы госучреждений. Особенно уязвимы клиенты Belcan в США, поэтому успешная атака вызвала бы обеспокоенность американских граждан и госслужащих.
Источником утечки, судя по всему, послужил инструмент безопасности Belcan для сканирования инфраструктуры на уязвимости. Доступ к таким инструментам должен быть хорошо защищён, поскольку они имеют привилегированный доступ к чувствительным данным организации.
Cybernews проинформировал Belcan о найденных уязвимостях. Компания приняла меры по их устранению ещё перед публикацией данной информации в открытых источниках, чтобы предотвратить её возможную эксплуатацию злоумышленниками.